Duy Linh
Writer
Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng nghiêm trọng trong trình duyệt Comet AI của Perplexity, cho phép kẻ tấn công chèn lệnh độc hại thông qua văn bản ẩn trong ảnh chụp màn hình. Lỗ hổng này, được công bố ngày 21/10/2025, cho thấy các trình duyệt hỗ trợ AI có thể trở thành “cửa ngõ” cho tin tặc truy cập vào tài khoản ngân hàng, email và các dịch vụ nhạy cảm khác của người dùng.
Cách kẻ tấn công ẩn lệnh trong hình ảnh và mức độ nguy hiểm
Cuộc tấn công hoạt động dựa trên kỹ thuật “ẩn chữ”, cho phép nhúng các lệnh nguy hiểm gần như vô hình vào nội dung web. Nhóm nghiên cứu tại Brave đã chứng minh bằng một mẫu tấn công sử dụng chữ màu xanh nhạt trên nền vàng, khiến lệnh độc hại gần như không thể nhận ra bằng mắt thường.
Khi người dùng chụp ảnh màn hình trang web có chứa văn bản ẩn, trình duyệt Comet AI sử dụng công nghệ nhận dạng ký tự quang học (OCR) để trích xuất toàn bộ văn bản, bao gồm cả các lệnh được ngụy trang. Sau đó, hệ thống AI của Comet xử lý và thực thi các lệnh này mà không qua bước xác minh hay lọc an toàn.
Điều này đồng nghĩa, khi người dùng gửi ảnh chụp màn hình để nhờ Comet phân tích, họ vô tình cung cấp quyền điều khiển cho tin tặc. AI hiểu những hướng dẫn ẩn là lệnh hợp lệ, cho phép kẻ tấn công chiếm quyền điều khiển trình duyệt và thực hiện hành vi trái phép.
Hậu quả có thể cực kỳ nghiêm trọng, đặc biệt khi người dùng đang đăng nhập vào tài khoản ngân hàng hoặc hệ thống doanh nghiệp. Chỉ cần một ảnh chụp màn hình trang web bị cài mã độc, AI có thể bị lợi dụng để truy cập dữ liệu, đánh cắp thông tin, hoặc xâm phạm hệ thống đám mây của công ty.
Nguyên nhân gốc rễ và khuyến nghị bảo mật cho người dùng
Lỗ hổng này vượt qua hoàn toàn các biện pháp bảo vệ truyền thống như chính sách “cùng nguồn gốc”, vốn được thiết kế để ngăn trang web truy cập dữ liệu của nhau. Theo các chuyên gia bảo mật Artem Chaikin và Shivan Kaul Sahib (Brave), đây không phải là trường hợp duy nhất. Họ cũng phát hiện các lỗ hổng tương tự trên những trình duyệt agentic khác như Fellou, nơi chỉ cần yêu cầu AI truy cập trang web độc hại là có thể chèn lệnh trái phép vào nội dung hiển thị.
Brave đã báo cáo lỗ hổng Comet cho Perplexity vào ngày 1/10/2025, giúp công ty có thời gian khắc phục trước khi công bố công khai. Kết quả nghiên cứu cho thấy một lỗi thiết kế nghiêm trọng trong cách các trình duyệt AI phân biệt giữa lệnh hợp pháp từ người dùng và nội dung không đáng tin cậy từ web.
Các chuyên gia khuyến nghị rằng cho đến khi các trình duyệt agentic được trang bị lớp bảo vệ mạnh hơn, người dùng nên hạn chế đăng nhập vào tài khoản nhạy cảm khi sử dụng các tính năng AI tích hợp, hoặc tạm thời tránh dùng các trình duyệt này. Biện pháp lý tưởng là tách riêng khả năng duyệt AI khỏi hoạt động duyệt web thông thường và chỉ kích hoạt khi có yêu cầu rõ ràng từ người dùng.
Đọc chi tiết tại đây: https://gbhackers.com/vulnerability-in-perplexitys-comet-browser-screenshot-feature/
Cách kẻ tấn công ẩn lệnh trong hình ảnh và mức độ nguy hiểm
Cuộc tấn công hoạt động dựa trên kỹ thuật “ẩn chữ”, cho phép nhúng các lệnh nguy hiểm gần như vô hình vào nội dung web. Nhóm nghiên cứu tại Brave đã chứng minh bằng một mẫu tấn công sử dụng chữ màu xanh nhạt trên nền vàng, khiến lệnh độc hại gần như không thể nhận ra bằng mắt thường.
Khi người dùng chụp ảnh màn hình trang web có chứa văn bản ẩn, trình duyệt Comet AI sử dụng công nghệ nhận dạng ký tự quang học (OCR) để trích xuất toàn bộ văn bản, bao gồm cả các lệnh được ngụy trang. Sau đó, hệ thống AI của Comet xử lý và thực thi các lệnh này mà không qua bước xác minh hay lọc an toàn.
Điều này đồng nghĩa, khi người dùng gửi ảnh chụp màn hình để nhờ Comet phân tích, họ vô tình cung cấp quyền điều khiển cho tin tặc. AI hiểu những hướng dẫn ẩn là lệnh hợp lệ, cho phép kẻ tấn công chiếm quyền điều khiển trình duyệt và thực hiện hành vi trái phép.
Hậu quả có thể cực kỳ nghiêm trọng, đặc biệt khi người dùng đang đăng nhập vào tài khoản ngân hàng hoặc hệ thống doanh nghiệp. Chỉ cần một ảnh chụp màn hình trang web bị cài mã độc, AI có thể bị lợi dụng để truy cập dữ liệu, đánh cắp thông tin, hoặc xâm phạm hệ thống đám mây của công ty.
Nguyên nhân gốc rễ và khuyến nghị bảo mật cho người dùng
Lỗ hổng này vượt qua hoàn toàn các biện pháp bảo vệ truyền thống như chính sách “cùng nguồn gốc”, vốn được thiết kế để ngăn trang web truy cập dữ liệu của nhau. Theo các chuyên gia bảo mật Artem Chaikin và Shivan Kaul Sahib (Brave), đây không phải là trường hợp duy nhất. Họ cũng phát hiện các lỗ hổng tương tự trên những trình duyệt agentic khác như Fellou, nơi chỉ cần yêu cầu AI truy cập trang web độc hại là có thể chèn lệnh trái phép vào nội dung hiển thị.
Brave đã báo cáo lỗ hổng Comet cho Perplexity vào ngày 1/10/2025, giúp công ty có thời gian khắc phục trước khi công bố công khai. Kết quả nghiên cứu cho thấy một lỗi thiết kế nghiêm trọng trong cách các trình duyệt AI phân biệt giữa lệnh hợp pháp từ người dùng và nội dung không đáng tin cậy từ web.
Các chuyên gia khuyến nghị rằng cho đến khi các trình duyệt agentic được trang bị lớp bảo vệ mạnh hơn, người dùng nên hạn chế đăng nhập vào tài khoản nhạy cảm khi sử dụng các tính năng AI tích hợp, hoặc tạm thời tránh dùng các trình duyệt này. Biện pháp lý tưởng là tách riêng khả năng duyệt AI khỏi hoạt động duyệt web thông thường và chỉ kích hoạt khi có yêu cầu rõ ràng từ người dùng.
Đọc chi tiết tại đây: https://gbhackers.com/vulnerability-in-perplexitys-comet-browser-screenshot-feature/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
